Welche Vorgaben macht die DSGVO? Vieles in der DSGVO entspricht dem, was bereits im bisher geltenden deutschen Datenschutzrecht festgeschrieben war.

Transkript

1 NAKOS THEMA Die neue Datenschutz-Grundverordnung (DSGVO) Basisinformationen von Miriam Walther 1 / 6 Vorbemerkung: Uns erreichen zunehmend Anfragen zur neuen Datenschutz-Grundverordnung (DSGVO). In diesem Text greifen wir zentrale Inhalte der DSGVO auf. Die genannten Informationen stellen keine Rechtsberatung dar. Die NAKOS haftet nicht für die Inhalte. Trotz sorgfältiger Prüfung kann nicht ausgeschlossen werden, dass Angaben fehlerhaft oder veraltet sind. 1. Die Datenschutz-Grundverordnung Worum geht es? Am 25. Mai 2018 tritt in allen EU-Mitgliedstaaten eine neue Datenschutzregelung in Kraft die sogenannte Datenschutz-Grundverordnung (DSGVO). Die DSGVO regelt, wie private Unternehmen, Organisationen und öffentliche Stellen mit personenbezogenen Daten umzugehen haben. Das Datenschutzrecht wird durch die DSGVO EU-weit vereinheitlicht. Die DSGVO wird durch eine sogenannte E-Privacy -Richtlinie ergänzt. Diese befindet sich zurzeit noch in der Überarbeitung. Die DSGVO gilt auch für die Selbsthilfe, sofern personenbezogene Daten erhoben oder verarbeitet werden. Welche Daten müssen geschützt werden? Die DSGVO zielt auf den Schutz von personenbezogenen Daten. Damit sind alle Daten gemeint, die einer Person zugeordnet werden können. Das sind heutzutage aber nicht mehr nur Informationen wie Name, Postadresse oder Geburtsdatum, sondern alle Daten, bei denen es möglich ist, sie einer Person zuzuordnen also auch -Adressen oder Kfz- Kennzeichen. Personenbezogene Daten dürfen nur erhoben, gespeichert oder in sonstiger Weise verarbeitet werden, wenn es dafür eine gesetzliche Grundlage gibt oder wenn die- / derjenige, um die / den es sich handelt, aktiv eingewilligt hat. Als besonders schützenswert gelten auch weiterhin Angaben über die ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Welche Vorgaben macht die DSGVO? Vieles in der DSGVO entspricht dem, was bereits im bisher geltenden deutschen Datenschutzrecht festgeschrieben war.

2 S. 2 So gilt weiterhin, dass das Erheben und Verarbeiten von personenbezogenen Daten untersagt ist es sei denn, es existiert eine gesetzliche Grundlage oder die betreffende Person hat eingewilligt. Neu ist, dass Verstöße künftig mit sehr hohen Geldbußen geahndet werden können. Im Fall von Unternehmen können es Strafzahlungen in Höhe von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes sein. Zudem gibt es künftig ein Koppelungsverbot : Unternehmen, Organisationen oder öffentliche Einrichtungen dürfen die Erfüllung eines Vertrages nicht ohne Weiteres davon abhängig machen, ob eine betroffene Person in eine Datenverarbeitung einwilligt, die über die Erfüllung des konkreten Vertrags hinausgeht. Die DSGVO gilt auch für außereuropäische Unternehmen wie Google, Facebook, Amazon und Apple und zwar für ihre Tätigkeiten auf dem europäischen Markt. Grundsätze der DSGVO Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Es besteht eine gesetzliche Grundlage für die Erhebung und Verarbeitung der Daten oder die betroffene Person hat zugestimmt. Die Daten sind zur Erfüllung eines Vertrags notwendig. Die Erhebung und Verarbeitung ist zur Wahrung eines berechtigten Interesses des Unternehmens / der Organisation erforderlich, das die Daten erhebt und verarbeitet. Zweckbindung Personenbezogenen Daten dürfen nur für festgelegte, eindeutige (das heißt: klar benannte) und legitime Zwecke erhoben und weiterverarbeitet werden. Datenminimierung Es dürfen nur Daten erhoben werden, die dem Zweck angemessen und auf das notwendige Maß beschränkt sind. Richtigkeit Es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden. Speicherbegrenzung Die Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es [ ] erforderlich ist. Danach müssen die Daten gelöscht werden. Integrität und Vertraulichkeit Diejenigen, die Daten erheben und verarbeiten, müssen durch geeignete technische und organisatorische Maßnahmen auf eine angemessene Sicherheit achten, also auch auf einen Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung der Daten.

3 S Was bedeutet die DSGVO für die Arbeit von Selbsthilfevereinigungen und Selbsthilfekontaktstellen? Wo werden in der gemeinschaftlichen Selbsthilfe personenbezogene Daten erhoben und verarbeitet? Personenbezogene Daten werden unter anderem in den folgenden Fällen erhoben und verarbeitet: Namen, Adressen, Telefonnummern, -Adressen und Kontoverbindungen im Rahmen der Vermittlungstätigkeit oder der Mitgliederverwaltung. -Adressen für den Versand von Newslettern. -Adressen und Informationen über individuelle Krankheitsverläufe im Rahmen von Anfragen, die per an die Selbsthilfevereinigung oder Selbsthilfekontaktstelle herangetragen werden. Auf dem Internetauftritt oder in anderen Medien veröffentlichte Namen, Telefonnummern oder -Adressen von Ansprechpersonen (zum Beispiel von Gruppensprecher/innen). Auch IP-Adressen gelten als personenbezogene Informationen. Bei Internetauftritten werden in der Regel IP-Adressen von den Nutzer/innen dieser Internetauftritte erfasst. Auch auf diese beziehen sich die Vorgaben der DSGVO. Wenn in der Selbsthilfe personenbezogene Daten erhoben und verarbeitet werden, müssen die Vorgaben der DSGVO umgesetzt werden. Selbsthilfevereinigungen und Selbsthilfekontaktstellen sind dann verpflichtet, sowohl technische als auch organisatorische Maßnahmen zu ergreifen, um einen angemessenen Schutz dieser Daten zu gewährleisten. Bei der Planung und der Umsetzung von Datenverarbeitungsverfahren muss jeweils eine Risikoprüfung durchgeführt werden (sog. Datenschutz-Folgenabschätzung). Bestandsaufnahme Als ersten Schritt sollten Selbsthilfevereinigungen und Selbsthilfekontaktstellen prüfen, wo sie in ihrer Arbeit jeweils personenbezogene Daten erheben und wie diese bislang verarbeitet werden (z. B.: Wo werden sie gespeichert? Wer hat Zugang zu den Daten? Wie lange werden die Daten aufgehoben?). Es sollte zudem jeweils überprüft werden, ob eine rechtliche Grundlage für die Erhebung und Verarbeitung besteht oder ob die betreffenden Personen über die Verarbeitung und den Zweck der Verwendung informiert wurden und in diese eingewilligt haben. Anpassung an Grundsätze der DSGVO Im nächsten Schritt müssen alle identifizierten Prozesse der Erhebung und Verarbeitung von personenbezogenen Daten datenschutzfreundlich gestaltet werden. Das heißt, dass immer nur die Daten erhoben und verarbeitet werden dürfen, die für einen klar definierten Zweck wirklich

4 S. 4 erforderlich sind. Zugang zu den Daten dürfen nur Personen mit einem berechtigten Interesse haben. Wann immer Selbsthilfevereinigungen oder Selbsthilfekontaktstellen personenbezogene Daten erheben und verarbeiten, müssen sie die betreffenden Personen klar verständlich darüber informieren, wozu die Daten erhoben werden (Zweck) und wie diese verarbeitet werden. Die betreffenden Personen müssen aktiv in die Erhebung und Verarbeitung einwilligen. Diese Einwilligung erfolgt immer zweckgebunden. (Beispielweise dürfen -Adressen, die für einen Newsletterversand erhoben wurden, nicht später für andere Zwecke verwendet werden.) Folgende Informationen müssen den Personen, von denen Daten erhoben werden, mitgeteilt werden: Informationen über den Verwendungszweck, Informationen über die Rechtsgrundlage bzw. Einholung der Einwilligung, Information über das Recht der betreffenden Personen, diese Einwilligung zu widerrufen sowie auf ihr Recht, ihre Daten löschen zu lassen ( Recht auf Vergessenwerden ), Information zur Dauer der Speicherung der Daten, Informationen zu den Personen, die mit der Erhebung und Verarbeitung befasst sind. Das Recht auf Vergessenwerden Wenn Personen ihre Einwilligung zurückziehen, müssen die Daten gelöscht werden. Ebenfalls müssen personenbezogene Daten, für deren Aufbewahrung kein Grund mehr besteht, gelöscht werden. Es empfiehlt sich daher, Löschkonzepte und Löschroutinen zu definieren. Zusammenarbeit mit externen Dienstleistern Wenn Selbsthilfevereinigungen oder Selbsthilfekontaktstellen bei der Verarbeitung von personenbezogenen Daten mit externen Dienstleistern zusammenarbeiten, müssen sie sich absichern, dass diese Dienstleister der DSGVO folgen. Dafür ist es notwendig, einen sogenannten Vertrag zur Auftragsverarbeitung abzuschließen. Erhebung und Verarbeitung von Daten im Internet Für Internetauftritte ist eine Datenschutzerklärung vorgeschrieben. Es empfiehlt sich, die Datenschutzerklärung nicht auf der Unterseite des Impressums einzubinden, sondern dafür eine separate Unterseite ( Datenschutz ) einzurichten. In der Datenschutzerklärung müssen die Besucher/innen des Internetauftritts informiert werden, welche Daten erhoben und wie diese verarbeitet werden. Dazu gehören auch Informationen über die Erhebung und Verarbeitung personenbezogener Daten durch Anwendungen auf der Internetseite, die von Dritten zur Verfügung gestellt werden

5 S. 5 (zum Beispiel Web-Analyse-Instrumente, Soziale Netzwerke, Online-Werbung, eingebundene YouTube-Videos). Datenschutzpannen Wenn es zu einer Verletzung des Datenschutzes gekommen ist, muss dies innerhalb einer Frist von 72 Stunden nach Bekanntwerden des Vorfalls bei der zuständigen Datenschutzaufsichtsbehörde gemeldet werden. Zuständig ist jeweils die Aufsichtsbehörde in dem Bundesland, in dem die Vereinigung ihren Sitz hat. Eine Ausnahme von dieser Meldung besteht, wenn durch die Verletzung voraussichtlich kein Risiko für die persönlichen Rechte und Freiheiten der betroffenen Person entsteht. DSGVO-Vorgaben am Beispiel Newsletterversand Wenn Selbsthilfevereinigungen oder -kontaktstellen -Adressen abfragen, um einen Newsletter zusenden zu können, müssen sie die betreffenden Personen informieren, wie und wozu genau diese Daten verwendet werden sollen. Die betreffenden Personen müssen hierzu ihre Einwilligung geben. Möchten Selbsthilfevereinigungen oder -kontaktstellen diese -Adressen zu einem späteren Zeitpunkt noch für einen anderen Zweck verwenden (z.b. Einladungen zu Veranstaltungen), müssen sie eine neue Einwilligung für diesen neuen Zweck einholen. Es muss immer auf die Möglichkeit des Widerrufs der Einwilligung hingewiesen werden. Zudem muss immer erläutert werden, wie der Newsletter abbestellt werden kann. In jedem Newsletter muss eine einfache Möglichkeit zum Abbestellen des Newsletters vorhanden sein. Weiterlesen: Berliner Beauftragte für Datenschutz und Informationsfreiheit: Datenschutzreform Hilfestellung für kleine und mittlere Unternehmen ( Zugriff am ) Dr. Datenschutz: EU-Datenschutz-Grundverordnung: Das müssen Sie wissen. Keine Datumsangabe ( Zugriff am ) Knetsch, Tobias: Datenschutz-Grundverordnung: Die Uhr tickt - wo Unternehmen handeln müssen. Keine Datumsangabe ( Zugriff am ) Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK): Gemeinsame Kurzpapiere zur DS-GVO ( Zugriff am ) Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg : Datenschutz im Verein. Informationen über die datenschutzrechtlichen

6 S. 6 Rahmenbedingungen beim Umgang mit personenbezogenen Daten in der Vereinsarbeit. Mai 2017 ( Zugriff am ) Ruhr-Universität Bochum (RUB) / Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.v.: Datenschutz-Wiki ( Zugriff am ) IMPRESSUM NAKOS THEMA NAKOS Nationale Kontakt- und Informationsstelle zur Anregung und Unterstützung von Selbsthilfegruppen Otto-Suhr-Allee Berlin Tel: Fax: selbsthilfe@nakos.de Das Wissensportal zur Selbsthilfe: NAKOS Februar 2018 Eine Einrichtung der Deutschen Arbeitsgemeinschaft Selbsthilfe (DAG SHG) e.v. Wir stärken die Selbsthilfe. Unterstützung durch die NAKOS Die Nationale Kontakt- und Informationsstelle zur Anregung und Unterstützung von Selbsthilfegruppen (NAKOS) ist die bundesweite Netzwerkeinrichtung und Ansprechpartnerin für alle Fragen rund um die gemeinschaftliche Selbsthilfe in Deutschland. Sie arbeitet unabhängig, themenübergreifend und unentgeltlich und gibt Auskunft über örtliche Selbsthilfekontaktstellen sowie bundesweite Selbsthilfevereinigungen zu mehr als verschiedenen Themen. Sie veröffentlicht eine Vielzahl von Materialien und Fachinformationen und betreibt verschiedene Internetangebote.